Algorithmes indiens pour assurer la sécurité – Francis Pisani

En lisant ces jours-ci les infos sur Flame, le dernier des méga programmes malveillants, tous les responsables de sites internet se demandent comment se protéger. Une partie de la réponse – la sécurité totale n’existe pas – se trouve peut-être en Inde, à Bangalore, au siège d’iVizSecurity.com, spécialiste des tests de pénétration.Il s’agit de simulations d’attaques destinées à repérer les faiblesses du système. L’astuce tient à la conjonction d’un double modèle d’innovation : technologie d’une extrême complexité et modèle de revenu ultra simple qui, signe d’une évolution notable pour l’Inde, repose sur l’intelligence artificielle et pas sur la main d’œuvre bon marché.Le client – il s’agit d’entreprises, pas d’individus – se rend sur le portail d’iVizSecurity.com et commande un scan. Aussitôt les serveurs se mettent en marche – tout est dans les nuages – et simulent – selon Bikash Barai, fondateur et président de la société « toutes les attaques possibles, » au terme desquelles ils lui disent ce qu’il doit modifier. C’est du « hacking éthique » puisque l’objet n’est pas de faire mal mais d’aider à se protéger. « Hack toi toi-même avant que les hackers ne te le fassent et tu sauras ce qu’ils vont trouver, » ajoute-t-il avant de préciser : « On ne peut pas avoir de sécurité sans tests. Le défi est qu’ils soient bons. » Et en plus, ça prend du temps : 5 à 6 jours pour tester un site un peu compliqué, ce qui coûte cher.« Trouver un bon hacker est difficile et le garder encore plus, » se réjouit Barai qui compare sa solution à ce que fût l’apport de Ford. Les consultants-hackers « ont l’habitude de faire des tests comme on construisait des voitures avant l’invention de la production à la chaine, » affirme-t-il.Son innovation réside dans l’assemblage des vertus de l’intelligence artificielle, du contrôle humain et du coût réduit que l’on peut obtenir en ayant toute la technologie dans le cloud. « Le service est ainsi meilleur, plus rapide et moins cher. »Barai a commencé ses recherches en 2006 et a reçu ses premiers investissements en 2008. Il a aujourd’hui 300 gros clients. Le point de départ était une idée simple : « Celui qui attaque n’a besoin de trouver qu’une façon de pénétrer. Celui qui se défend doit les imaginer toutes. La complexité est exponentielle, » explique-t-il. L’intelligence artificielle lui permet d’imaginer toutes les combinaisons possibles. Il démontre l’efficacité de sa solution en pénétrant certains systèmes de Symantec, Adobe ou HP, entre autres, et en rendant publiques leurs faiblesses (après les avoir prévenues).La technologie repose sur des algorithmes très sophistiqués. « J’ai écrit les éléments de départ, » m’a expliqué Barai, « mon professeur est auteur d’algorithmes si puissants qu’ils sont étudiés aux États-Unis. » Lui même est issu de l’ Indian Institute of Technology (IIT) de Kharagpur, un des plus réputés. »Les Indiens ont un avantage quand on peut utiliser son cerveau. C’est différent quand il faut une infrastructure lourde. Il n’y a pas de physique des particules sans cyclotron, mais pour l’informatique il faut seulement utiliser sa tête et ses connaissances et, ça, nous savons faire. »Tout ceci lui a permis d’avoir des prix à l’innovation, jusqu’au jour où il s’est rendu compte qu’il n’avait pas pour autant de business.C’est alors qu’il a eu recours à la solution miracle : le forfait. Certains de ses clients font 2000 tests par an. Western Union, spécialiste du transfert d’argent, change d’application toutes les semaines. Assurer la sécurité à mesure qu’on grandit à ce niveau là donne de quoi s’arracher les cheveux. Dans de telles conditions, offrir comme il le fait « un nombre illimité de tests pour un nombre illimité d’applications pour un prix fixe » devrait lui ouvrir de belles perspectives de croissance.Afficher Pisani Winch 5 sur une carte plus grande